Vulnerabilities ›

CVE-2026-22678

Medium

CWE-79 — Weakness Type

                    Published: May 21, 2026                      ·  Modified: May 24, 2026                      ·  Source: NVD                

CVSS v3

5.4

🔗 NVD Official

📄 Description (English)

Webmin before 2.641 contains a stored cross-site scripting vulnerability in the email template description field of the System and Server Status module that allows low-privileged authenticated attackers to execute arbitrary commands by injecting unsanitized input stored in save_tmpl.cgi and rendered unescaped in list_tmpls.cgi.

🤖 AI Executive Summary

Webmin versions before 2.641 contain a stored XSS vulnerability in the System and Server Status module's email template description field. Low-privileged authenticated attackers can inject malicious scripts that execute when administrators view template lists, potentially leading to arbitrary command execution. This vulnerability poses a moderate risk to organizations using Webmin for server management, particularly in environments with multiple administrative users.

📄 Description (Arabic)

🤖 AI Intelligence Analysis Analyzed: May 27, 2026 22:02

🇸🇦 Saudi Arabia Impact Assessment

Saudi government agencies, telecommunications providers (STC, Mobily), and financial institutions using Webmin for server management infrastructure are at risk. The vulnerability particularly impacts organizations with multiple administrative tiers where lower-privileged users have access to email template configuration. Government entities under NCA oversight and SAMA-regulated financial institutions face compliance implications if administrative systems are compromised. Energy sector organizations managing critical infrastructure through Webmin deployments could experience operational disruption.

🏢 Affected Saudi Sectors

Government Banking and Financial Services Telecommunications Energy and Utilities Healthcare Education

🎯 MITRE ATT&CK Techniques

T1190 - Exploit Public-Facing Application T1598 - Phishing T1566 - Phishing T1059 - Command and Scripting Interpreter T1047 - Windows Management Instrumentation T1133 - External Remote Services T1078 - Valid Accounts

⚖️ Saudi Risk Score (AI)

6.2

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Audit all Webmin installations in your environment and identify versions before 2.641

2. Restrict access to the System and Server Status module to trusted administrators only

3. Review email template configurations for suspicious or unusual descriptions

4. Monitor access logs for list_tmpls.cgi and save_tmpl.cgi for unauthorized modifications

Patching Guidance:

1. Upgrade Webmin to version 2.641 or later when available

2. If immediate patching is not possible, disable the email template functionality in the System and Server Status module

3. Implement input validation and output encoding at the application level if custom modifications are in place

Compensating Controls:

1. Implement Web Application Firewall (WAF) rules to detect and block XSS payloads in template descriptions

2. Use Content Security Policy (CSP) headers to prevent inline script execution

3. Enforce strong authentication and multi-factor authentication for Webmin administrative access

4. Implement role-based access control (RBAC) to limit template modification capabilities

5. Deploy security monitoring to detect suspicious template modifications and rendering

Detection Rules:

1. Monitor for POST requests to save_tmpl.cgi with script tags or event handlers in parameters

2. Alert on GET requests to list_tmpls.cgi followed by unusual JavaScript execution

3. Track modifications to email template descriptions containing HTML/JavaScript entities

4. Monitor for administrative users accessing templates outside normal business hours

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. قم بمراجعة جميع تثبيتات Webmin في بيئتك وحدد الإصدارات السابقة للإصدار 2.641

2. قيّد الوصول إلى وحدة حالة النظام والخادم للمسؤولين الموثوقين فقط

3. راجع تكوينات قالب البريد الإلكتروني بحثاً عن أوصاف مريبة أو غير عادية

4. راقب سجلات الوصول لـ list_tmpls.cgi و save_tmpl.cgi للتعديلات غير المصرح بها

إرشادات التصحيح:

1. قم بترقية Webmin إلى الإصدار 2.641 أو أحدث عند توفره

2. إذا لم يكن التصحيح الفوري ممكناً، قم بتعطيل وظيفة قالب البريد الإلكتروني في وحدة حالة النظام والخادم

3. تطبيق التحقق من الإدخال وترميز الإخراج على مستوى التطبيق إذا كانت التعديلات المخصصة موجودة

الضوابط البديلة:

1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن حمولات XSS وحجبها في أوصاف القوالب

2. استخدام رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة

3. فرض المصادقة القوية والمصادقة متعددة العوامل لوصول Webmin الإداري

4. تطبيق التحكم في الوصول القائم على الأدوار (RBAC) لتحديد قدرات تعديل القوالب

5. نشر المراقبة الأمنية للكشف عن تعديلات القوالب المريبة والعرض

قواعد الكشف:

1. مراقبة طلبات POST إلى save_tmpl.cgi بعلامات البرامج النصية أو معالجات الأحداث في المعاملات

2. تنبيه على طلبات GET إلى list_tmpls.cgi متبوعة بتنفيذ JavaScript غير عادي

3. تتبع التعديلات على أوصاف قالب البريد الإلكتروني التي تحتوي على كيانات HTML/JavaScript

4. مراقبة المستخدمين الإداريين الذين يصلون إلى القوالب خارج ساعات العمل العادية

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies ECC 2024 A.6.2.1 - User Access Management ECC 2024 A.8.2.1 - Classification of Information ECC 2024 A.12.2.1 - Change Management ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Software Inventory SAMA CSF PR.AC-1 - Access Control SAMA CSF PR.DS-2 - Data Security SAMA CSF DE.CM-1 - Detection Processes SAMA CSF RS.MI-1 - Incident Response

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.6.1 - Organization of Information Security ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities ISO 27001:2022 A.14.2 - Development Security

🔗 References & Sources 2

🔗

https://webmin.com/changelog/webmin-2.641-released/

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/webmin-stored-xss-via-system-and-server-status

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.4

CWECWE-79

EPSS0.03%

Exploit No

Patch ✗ No

Published 2026-05-21

Source Feed nvd

🇸🇦 Saudi Risk Score

6.2

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-79

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-22678

Introduce Yourself

Sign In Required